Australia: Ngành giáo dục đối diện mối đe dọa an ninh mạng

Nhiều trường đại học, cao đẳng tại Australia đang đối diện với rủi ro an ninh mạng. Ảnh: TL

Chưa khắc phục triệt để các điểm yếu kéo dài

Kết quả kiểm toán chỉ ra nhiều hạn chế trong việc triển khai và vận hành các biện pháp kiểm soát hệ thống CNTT tại các đơn vị được kiểm toán. Năm 2025, các kiểm toán viên ghi nhận 73 điểm yếu, giảm so với 87 điểm yếu của năm 2024. Tuy nhiên, sự cải thiện này chưa phản ánh đầy đủ mức độ rủi ro khi tỷ lệ các điểm yếu nghiêm trọng lại có xu hướng gia tăng.

Đáng chú ý, 64% số điểm yếu được phát hiện là những tồn tại chưa được khắc phục từ các năm trước. Theo OAG, phần lớn các thiếu sót này có thể được xử lý thông qua việc áp dụng nghiêm túc các biện pháp kiểm soát cơ bản. Tuy nhiên, nhiều đơn vị vẫn chưa giải quyết dứt điểm các vấn đề kéo dài qua nhiều năm.

Trong các lĩnh vực được kiểm toán, kiểm soát an ninh thông tin và an ninh mạng là nội dung đáng quan ngại nhất khi chiếm tới 82% tổng số thiếu sót được xác định. Đây là những biện pháp kiểm soát giữ vai trò then chốt trong việc bảo vệ thông tin nhạy cảm cũng như duy trì tính toàn vẹn và khả năng sẵn sàng của các hệ thống trọng yếu. Theo OAG, thực trạng này càng trở nên đáng lo ngại trong bối cảnh các sự cố an ninh mạng gần đây đã tác động tiêu cực đến nhiều tổ chức hoạt động trong lĩnh vực giáo dục tại Australia.

Bên cạnh đó, sự phát triển nhanh chóng của trí tuệ nhân tạo (AI) đang tạo ra cả cơ hội lẫn thách thức đối với công tác bảo đảm an ninh mạng. Mặc dù AI mang lại nhiều lợi ích trong quản lý và vận hành, công nghệ này cũng có thể bị tội phạm mạng lợi dụng để thực hiện các cuộc tấn công ngày càng tinh vi. Điều đó khiến các tổ chức gặp nhiều khó khăn hơn trong việc duy trì hiệu quả các biện pháp kiểm soát hệ thống CNTT.

Đánh giá mức độ trưởng thành năng lực của OAG cho thấy, so với năm trước, mức độ trưởng thành năng lực chung của toàn ngành giáo dục đã suy giảm, với sự sụt giảm ở 6/10 hạng mục được kiểm toán. Trong đó, có 4 hạng mục liên quan trực tiếp đến an ninh thông tin và an ninh mạng.

Đặc biệt, trong công tác quản lý quyền truy cập, chưa đến một nửa số tổ chức đáp ứng được tiêu chuẩn do OAG đặt ra. OAG nhận định, tỷ lệ cao các điểm yếu chưa được khắc phục, cùng với sự gia tăng của các thiếu sót nghiêm trọng, là nguyên nhân chính dẫn đến sự suy giảm về mức độ trưởng thành năng lực. Trong 5 lĩnh vực an ninh thông tin và an ninh mạng được đánh giá, có tới 4 lĩnh vực ghi nhận mức độ trưởng thành giảm so với năm trước.

Tăng cường quản lý rủi ro và năng lực phòng vệ

Từ kết quả kiểm toán, OAG đã chỉ ra các lĩnh vực ưu tiên cần được theo dõi và quản lý liên tục, đồng thời cung cấp các ví dụ về thực tiễn tốt cũng như hướng dẫn hỗ trợ khắc phục. Các đơn vị cần chủ động tiếp thu các bài học thực tiễn và tích cực phản hồi các phát hiện kiểm toán. Bởi chỉ cần các điểm yếu về kiểm soát tồn tại trong bất kỳ khoảng thời gian nào cũng có thể khiến đơn vị phải đối mặt với những rủi ro nghiêm trọng.

Theo OAG, quản lý rủi ro và kiểm soát an ninh mạng đòi hỏi sự cảnh giác thường xuyên cùng năng lực duy trì liên tục trên toàn khu vực công. Các biện pháp kiểm soát an ninh thông tin và an ninh mạng yếu kém có thể làm gia tăng nguy cơ xảy ra các sự cố mạng, từ đó ảnh hưởng đến tính toàn vẹn, tính bảo mật và khả năng truy cập của các hệ thống, dữ liệu thiết yếu. Do đó, các đơn vị khu vực công cần thường xuyên đánh giá các mối đe dọa đối với hệ thống CNTT và bảo đảm các biện pháp kiểm soát đang vận hành hiệu quả.

Để tăng cường quản trị và bảo mật, OAG khuyến nghị các đơn vị cần thực hiện phân loại thông tin và áp dụng các biện pháp kiểm soát phù hợp để bảo vệ dữ liệu; thường xuyên đánh giá an ninh chuỗi cung ứng CNTT; kịp thời xác định và xử lý các lỗ hổng; duy trì cập nhật các ứng dụng và triển khai hiệu quả các biện pháp phòng, chống phần mềm độc hại.

Bên cạnh đó, các đơn vị cần triển khai xác thực đa yếu tố chống lừa đảo; xây dựng quy trình quản lý truy cập hiệu quả; tăng cường giám sát hoạt động nhằm phát hiện sớm các hành vi bất thường; đồng thời giới hạn và kiểm soát chặt chẽ đặc quyền quản trị viên.

OAG cũng lưu ý, để giảm thiểu nguy cơ từ các mối đe dọa nội bộ hoặc các sai sót không cố ý, các đơn vị cần bảo đảm quy trình tuyển dụng được thực hiện hiệu quả và tuân thủ đầy đủ; đồng thời duy trì thường xuyên các chương trình đào tạo, nâng cao nhận thức về bảo mật.

Đặc biệt, báo cáo khuyến nghị các tổ chức cần thực hiện phân tách mạng lưới; ngăn chặn các thiết bị trái phép kết nối vào hệ thống; duy trì hoạt động giám sát chủ động nhằm nâng cao khả năng ứng phó sự cố. Cùng với đó là thường xuyên cập nhật kế hoạch ứng phó sự cố, kế hoạch phục hồi sau thảm họa và kế hoạch duy trì hoạt động kinh doanh nhằm bảo đảm các hệ thống, dịch vụ CNTT có thể được khôi phục kịp thời trong các tình huống khẩn cấp./.

(Theo audit.wa.gov.au)

THIÊN LAM